向朋友們道歉:忙得糊塗了,好久沒更新Blog.最近正好測試UTM,記錄了下來,和你分享。另外接到Microsoft MVP Group 的電話,我的MVP申請寫得亂糟糟,真應該好好重視呀!自責。
防毒牆拿過來
網大了,管理的難度就大;上網容易了,客戶端就更容易受傷了。知曉“防毒牆”的名字和功能已經是很久的事兒了,說實話一直以來就想過在網關這一層架設防毒過濾產品,綜合來,比較去,“性能”這個參數長久以來沒有說服我這個安全負責人。當然,這是久遠的事情了,隨着時間和安全意識的改變,網關的概念已經在我眼中變得模糊,而安全邊界與資源互訪的矛盾就如同堅固的手銬束縛着我;使每個學校的網絡都安全些,這是我的夢想;使每個學校的資源都能相互訪問,是領導的夢想。
技術加忽悠,舌辯羣儒
中國有句古諺,“馬無外草不肥,人無外財不富”,年底前的追加撥款必須用到網絡或安全產品中,這使得“安全網關採購”翻到了提示簿中第一頁。我們重新衡量了防毒產品的在網絡中的地位,下面是我排除異己、而又略帶牽強性的發言,當然也是力推防毒網關的理論。
技術加忽悠,舌辯羣儒
中國有句古諺,“馬無外草不肥,人無外財不富”,年底前的追加撥款必須用到網絡或安全產品中,這使得“安全網關採購”翻到了提示簿中第一頁。我們重新衡量了防毒產品的在網絡中的地位,下面是我排除異己、而又略帶牽強性的發言,當然也是力推防毒網關的理論。
傳統意義上的計算機病毒正在退出歷史的舞臺,而現在計算機病毒這一詞彙更多的用於指代一個更寬泛的集合:惡意軟件。***的矛頭指向了瀏覽器。過去,你們可能認爲員工是最不需要擔心的,但隨着信息化建設步伐的加快,有許多網絡安全問題卻是由於內部員工所引起的。例如,在員工瀏覽網站、使用即時通訊軟件和訪問某些論壇的時候,一些間諜軟件、廣告軟件等惡意軟件就會不知不覺地下載到電腦中,並在企業內部網絡中進行傳播。對安全管理人員而言,集中管理安全性的方法既簡單又直接,因爲它將所有風險都集中到了一塊兒。但是,因爲員工客戶端個性化的實際情況,安全體系結構可能使統一管理不再可用。
網關(Gateway)又稱爲網間連接器、協議轉換器。網關在傳輸層上以實現網絡互連,是最複雜的網絡互連設備,僅用於兩個高層協議不同的網絡互連。網關的結構也和路由器類似,不同的是網關主要用於廣域網互連,當然也可以用於局域網互連之用。在早期的因特網中,網關即指路由器,是網絡中超越本地網絡的標記。我們將網關作爲劃分信任區或者非信任區的方案由來已久,由它作爲訪問的邊界,將訪問授權的策略部署到網關上是通用的做法,
一直以來,“邊界”只是相對於物理安全而言的修飾詞而已,很多人把防火牆或×××當作安全的邊界,用來防禦內網邊界以外的******和漏洞嗅探。但傳統意義的防火牆並不能夠將流行的病毒封堵在網關的外面,也就是說,一些病毒首先要通過防火牆,然後才能在客戶端軟件進行查殺。請注意,安全定義的第一點就是要實現“看不見”,首先是要隔離開病毒與病毒的載體。而我們現在的做法呢?是病毒要先駐留在你的PC上之後,我們的防毒體系才能起作用,有誰還認爲這是安全的嗎?
有錢花在刀刃上
可能由於一貫保持了“強勢”的發言作風,雖然遇到了一些不同意見,但總算把“錢”拿到了自己的帳上,但接下來我馬上就進入了自我矛盾的陷阱中了。由於下級單位的網絡中並沒有防火牆這個設備,大多的安全策略是在路由器或者三層交換機的上聯端口上配置的,所以該採用偏重流量檢測的防火牆,還是採用偏重病毒防禦的防毒牆,又或者是採用集各種功能於一身的UTM,我還存在一定的迷惑。
衡量我們自己的業務水平,另一個考慮的採購因素就是操作的簡便性。雖然市教育網絡和信息中心負責對全市所有中小學網絡管理教師進行系統培訓,並要求所有的網絡管理教師通過培訓考試獲得資格證書。但大部分網管的學歷水平較低,有30%左右的人是轉崗(之前從事其他學科的教學工作),知識結構難免單一。這樣一來,網管們即使想學習其他技能,也都因爲缺乏一定的理論基礎而擱淺。對這些網管來說,除了電腦和網絡方面的基礎知識,幾乎沒學習過其他方面的理論,更不要說至今爲止一直搞不懂得“安全”了,這就大大降低了他們掌握這個複雜產品的可能性。而UTM的優點在於它能以較低的成本滿足我們對信息安全的大部分需求,避免使用單一安全設備帶來高昂的採購維護成本和複雜的部署管理工作。它提供的界面簡單易操作,使得非專業用戶也能進行常規的維護工作。
之前測試過幾個UTM,我非常清楚由於UTM在一個設備上整合了多個安全功能模塊,因此設備所能實現的反垃圾郵件、反病毒等功能與單一安全設備相比尚有一定差距。如果UTM設備在啓用基本防火牆功能的情況下,同時開啓反病毒、***檢測等耗費系統資源的應用模塊,性能會顯著下降。
當然我心裏也有一個小算盤,錢是上級單位撥的,不過亂花也是要出事的。我清楚很多UTM產品中都附帶了病毒過濾這個功能,當然也有單獨的防毒牆產品,在這些產品中每增加一項功能就可能要單獨付費。我們可以把所有的功能模塊都選上(因爲這次費用很充足),但明年的續費誰來了管呢?所以只選擇必要的功能,這是採購前,心裏已經定下的事情了。拿着未來1年的網絡改造方案,在安全的前提下實現全網資源互訪,我將目標鎖定在UTM產品上,UTM的防毒功能開啓後的測試就成了我的心病,夜不能寐呀!
廠商應約而至的一週
早上來到辦公室開始了採購前的必備工作:打電話。第一個電話打出去以後,就已經象徵着這個項目的正式啓動。從第三天開始,推銷產品的、約見的、送標書的都來了。爲了避免被忽悠(曾經被忽悠多次,有經驗了),我也開始發動我的“黑暗力量”,一堆“灰客”朋友快遞過來了大量的病毒代碼,實驗室快速搭建完成,所有測試機都安裝統一殺毒軟件(防毒代碼更新置2009.1.16)。由於採購數量很大,引來的蝴蝶也確實不少,我實在懶得一家家聽廠商介紹了,是不是金子?到實驗室練練吧。下面是兩週來實驗室中的記錄,由於採購還在進行中,有些涉及廠商名子的內容暫且略去了。
1.Web應用協議防毒與產品
對於大家都有的HTTP、FTP、SMTP等的防護測試是必須的,我這裏也不想多費筆墨進行解釋了。值得一提的是大部分的測試產品都支持“路由”和“透明”這兩種模式,這裏面有5家需要更改IE的代理服務器地址設置。在支持這兩種功能的產品中,採用透明模式下10%的產品有漏殺現象,路由模式有3~5%的病毒鑽了過來。在網關(路由)模式下,開啓防毒功能,並將深度檢測功能調整在最高檔位,其中70%以上的產品下載速度下降有六成以上。
第一輪測試結束後,凸現了第一個問題,參與測試的人員提出內部用戶並不願意爲了進行HTTP的病毒掃描而在IE瀏覽器中設置代理,而且如果設置代理,許多不支持代理的應用將無法進行。要實現HTTP的病毒掃描,又要對用戶表現爲透明,雖然我提出了利用“活動目錄+組策略”的解決辦法,但很快就被kill掉了。第一批不符合應用習慣和性能較差的產品遭到淘汰。
2.變態的SMB共享防毒測試
全網文件共享服務,這是一個很大但的想法。對於已經感染了病毒的文件服務器進行COPY Files,我們測試針對SMB文件共享之後防毒功能確實有些變態,因爲大多UTM的設計是針對WEB防毒的,他們支持HTTP、SMTP、POP3、FTP、IM的病毒掃描。測試方案遭到了很多廠商的質疑,不過他們中間確實有兩家可以對文件共享防毒提供支持,我想他們伸出了橄欖枝。當然,在1萬多臺客戶端的網絡中進行全網文件共享服務,還只是我的一個設想。
3.研究產品與操作手冊
還是一個容易被忽悠的問題。測試過半,我將工作交給了其他安全工程師,開始研究其產品操作手冊來。實話實說,我不喜歡那些1500頁以上的產品說明書。各個廠商的硬件安全網關產品雖然各有特色,但在具體的售後服務、升級擴展方面卻千差萬別,尤其對於那些在論壇中口碑較差的產品,我對此更是心存顧慮。還有,之前的測試已經表明硬件安全網關雖然能夠深度檢測防禦病毒,但對於網絡流量會形成一定的速度限制,如何在防病毒和網絡流量間取得平衡,我頗爲頭疼的問題。對性能影響有說明,大致符合我們測試結果的產品說明書被我方在了左邊的抽屜裏,其它的……哎,不過產品還在測試,一切還不明朗。
可能由於一貫保持了“強勢”的發言作風,雖然遇到了一些不同意見,但總算把“錢”拿到了自己的帳上,但接下來我馬上就進入了自我矛盾的陷阱中了。由於下級單位的網絡中並沒有防火牆這個設備,大多的安全策略是在路由器或者三層交換機的上聯端口上配置的,所以該採用偏重流量檢測的防火牆,還是採用偏重病毒防禦的防毒牆,又或者是採用集各種功能於一身的UTM,我還存在一定的迷惑。
衡量我們自己的業務水平,另一個考慮的採購因素就是操作的簡便性。雖然市教育網絡和信息中心負責對全市所有中小學網絡管理教師進行系統培訓,並要求所有的網絡管理教師通過培訓考試獲得資格證書。但大部分網管的學歷水平較低,有30%左右的人是轉崗(之前從事其他學科的教學工作),知識結構難免單一。這樣一來,網管們即使想學習其他技能,也都因爲缺乏一定的理論基礎而擱淺。對這些網管來說,除了電腦和網絡方面的基礎知識,幾乎沒學習過其他方面的理論,更不要說至今爲止一直搞不懂得“安全”了,這就大大降低了他們掌握這個複雜產品的可能性。而UTM的優點在於它能以較低的成本滿足我們對信息安全的大部分需求,避免使用單一安全設備帶來高昂的採購維護成本和複雜的部署管理工作。它提供的界面簡單易操作,使得非專業用戶也能進行常規的維護工作。
之前測試過幾個UTM,我非常清楚由於UTM在一個設備上整合了多個安全功能模塊,因此設備所能實現的反垃圾郵件、反病毒等功能與單一安全設備相比尚有一定差距。如果UTM設備在啓用基本防火牆功能的情況下,同時開啓反病毒、***檢測等耗費系統資源的應用模塊,性能會顯著下降。
當然我心裏也有一個小算盤,錢是上級單位撥的,不過亂花也是要出事的。我清楚很多UTM產品中都附帶了病毒過濾這個功能,當然也有單獨的防毒牆產品,在這些產品中每增加一項功能就可能要單獨付費。我們可以把所有的功能模塊都選上(因爲這次費用很充足),但明年的續費誰來了管呢?所以只選擇必要的功能,這是採購前,心裏已經定下的事情了。拿着未來1年的網絡改造方案,在安全的前提下實現全網資源互訪,我將目標鎖定在UTM產品上,UTM的防毒功能開啓後的測試就成了我的心病,夜不能寐呀!
廠商應約而至的一週
早上來到辦公室開始了採購前的必備工作:打電話。第一個電話打出去以後,就已經象徵着這個項目的正式啓動。從第三天開始,推銷產品的、約見的、送標書的都來了。爲了避免被忽悠(曾經被忽悠多次,有經驗了),我也開始發動我的“黑暗力量”,一堆“灰客”朋友快遞過來了大量的病毒代碼,實驗室快速搭建完成,所有測試機都安裝統一殺毒軟件(防毒代碼更新置2009.1.16)。由於採購數量很大,引來的蝴蝶也確實不少,我實在懶得一家家聽廠商介紹了,是不是金子?到實驗室練練吧。下面是兩週來實驗室中的記錄,由於採購還在進行中,有些涉及廠商名子的內容暫且略去了。
1.Web應用協議防毒與產品
對於大家都有的HTTP、FTP、SMTP等的防護測試是必須的,我這裏也不想多費筆墨進行解釋了。值得一提的是大部分的測試產品都支持“路由”和“透明”這兩種模式,這裏面有5家需要更改IE的代理服務器地址設置。在支持這兩種功能的產品中,採用透明模式下10%的產品有漏殺現象,路由模式有3~5%的病毒鑽了過來。在網關(路由)模式下,開啓防毒功能,並將深度檢測功能調整在最高檔位,其中70%以上的產品下載速度下降有六成以上。
第一輪測試結束後,凸現了第一個問題,參與測試的人員提出內部用戶並不願意爲了進行HTTP的病毒掃描而在IE瀏覽器中設置代理,而且如果設置代理,許多不支持代理的應用將無法進行。要實現HTTP的病毒掃描,又要對用戶表現爲透明,雖然我提出了利用“活動目錄+組策略”的解決辦法,但很快就被kill掉了。第一批不符合應用習慣和性能較差的產品遭到淘汰。
2.變態的SMB共享防毒測試
全網文件共享服務,這是一個很大但的想法。對於已經感染了病毒的文件服務器進行COPY Files,我們測試針對SMB文件共享之後防毒功能確實有些變態,因爲大多UTM的設計是針對WEB防毒的,他們支持HTTP、SMTP、POP3、FTP、IM的病毒掃描。測試方案遭到了很多廠商的質疑,不過他們中間確實有兩家可以對文件共享防毒提供支持,我想他們伸出了橄欖枝。當然,在1萬多臺客戶端的網絡中進行全網文件共享服務,還只是我的一個設想。
3.研究產品與操作手冊
還是一個容易被忽悠的問題。測試過半,我將工作交給了其他安全工程師,開始研究其產品操作手冊來。實話實說,我不喜歡那些1500頁以上的產品說明書。各個廠商的硬件安全網關產品雖然各有特色,但在具體的售後服務、升級擴展方面卻千差萬別,尤其對於那些在論壇中口碑較差的產品,我對此更是心存顧慮。還有,之前的測試已經表明硬件安全網關雖然能夠深度檢測防禦病毒,但對於網絡流量會形成一定的速度限制,如何在防病毒和網絡流量間取得平衡,我頗爲頭疼的問題。對性能影響有說明,大致符合我們測試結果的產品說明書被我方在了左邊的抽屜裏,其它的……哎,不過產品還在測試,一切還不明朗。
安全產品始終是網絡應用的一個補充。我認爲對教育網安全形成主要威脅的前三者,“客戶端病毒問題”、“網絡病毒問題”、“Web訪問病毒、間諜軟件、流氓軟件問題”,不過從SMB文件共享防毒的測試中,我覺得不論產品採購最終花落誰家,防毒牆的應用肯定越來越廣,不見只有Internet需要它。